Pago con tarjetas mediante Apple Pay

Pagar con tarjetas en tiendas

Si el iPhone o el Apple Watch está encendido y detecta un campo NFC, y si la app Cartera se ha establecido como la app por omisión para realizar pagos y pagos sin contacto, el dispositivo muestra al usuario la tarjeta solicitada (si la selección automática está activada para esa tarjeta) o la tarjeta por omisión de la app Cartera (que se gestiona en Ajustes). El usuario también puede ir a la app Cartera y seleccionar una tarjeta o, si el dispositivo está bloqueado, puede hacer lo siguiente:

• Pulsar dos veces el botón lateral en dispositivos con Face ID (si Cartera es la app por omisión).

• Pulsar dos veces el botón de inicio en dispositivos con Touch ID (si Cartera es la app por omisión).

• Utilizar las funciones de accesibilidad que permiten el uso de Apple Pay desde la pantalla bloqueada.

A continuación, antes de que se transmita la información relativa al pago, el usuario deberá confirmar su intención de pagar y autenticarse mediante uno de los siguientes métodos:

• Autenticación biométrica

• Código de acceso o contraseña del dispositivo

• Doble clic en el botón lateral de un Apple Watch desbloqueado

No se envía ninguna información relativa al pago sin la autenticación del usuario.

Una vez que se ha verificado la identidad del usuario, se utiliza el número de cuenta del dispositivo y un código de seguridad único para procesar el pago. Ni Apple ni el dispositivo del usuario comparte los números completos de la tarjeta con los beneficiarios. Sin embargo, es posible que Apple obtenga datos anónimos, como la hora y el lugar de la transacción. Esta información sirve de ayuda para mejorar Apple Pay y otros servicios de Apple.

Pagar con tarjetas en apps

Apple Pay también se puede usar para realizar pagos en apps de iOS, iPadOS, macOS, watchOS y visionOS. Cuando los usuarios pagan de esta manera con Apple Pay, Apple recibe información encriptada de la transacción para dirigirla al desarrollador o al beneficiario concreto al que el usuario está realizando el pago. Antes de que esa información se envíe al desarrollador o al beneficiario, Apple vuelve a encriptar la transacción con una clave específica del desarrollador. Esto ayuda a garantizar que únicamente un desarrollador autorizado con un par de claves pueda desencriptar la información. Apple Pay guarda información sobre la transacción de forma anónima como, por ejemplo, el importe aproximado de la compra. Esta información no se puede relacionar con el usuario y nunca incluye qué ha comprado.

Además de poder usar Apple Pay en tiendas, también funciona desde las apps de iOS, iPadOS, macOS, watchOS y visionOS. Cuando los usuarios pagan en apps, Apple obtiene los datos encriptados de la transacción. A continuación, envía estos datos al desarrollador o al beneficiario correspondiente. Antes de esto, Apple vuelve a encriptar los datos con una clave específica del desarrollador. Esto garantiza que solo los desarrolladores autorizados puedan acceder a ellos. Apple Pay guarda los datos de forma anónima, como el importe de la compra. Sin embargo, estos datos no están vinculados a los usuarios y no revelan lo que han comprado.

Cuando una app inicia una transacción de pago de Apple Pay, los servidores de Apple Pay reciben la transacción encriptada desde el dispositivo antes de que el beneficiario la reciba. A continuación, los servidores de Apple Pay vuelven a encriptar la transacción con la clave específica del beneficiario antes de transmitirla al beneficiario.

Cuando una app solicita un pago, llama a una API para determinar si el dispositivo es compatible con Apple Pay y si la tarjeta de crédito o débito del usuario puede utilizarse para realizar pagos en una red de pago que acepte el beneficiario. La app solicita la información que necesita para procesar y completar la transacción como, por ejemplo, las direcciones de envío y facturación o los datos de contacto. A continuación, la app pide a iOS, iPadOS, macOS, watchOS o visionOS que presente la hoja de Apple Pay, que solicita información para la app y otra información necesaria, como la tarjeta que se va a usar.

Es entonces cuando la app muestra la información relacionada con la ciudad, el país y el código postal para calcular los gastos de envío finales. Sin embargo, no recibe toda la información solicitada hasta que el usuario autoriza el pago mediante uno de los siguientes métodos:

• Autenticación biométrica

• Código de acceso o contraseña del dispositivo

• Doble clic en el botón lateral de un Apple Watch desbloqueado

Una vez autorizado, la información que se muestra en la hoja de Apple Pay se envía al beneficiario.

Pagar con tarjetas en clips de apps

Un clip de app es una pequeña parte de una app que permite al usuario realizar una tarea concreta rápidamente (como alquilar una bicicleta o pagar por el estacionamiento) sin descargar la app completa. Si el clip de app admite pagos, el usuario puede usar “Iniciar sesión con Apple” (si el desarrollador de la app lo ha configurado) y, a continuación, hacer pagos con Apple Pay. Cuando un usuario realiza un pago desde un clip de app, las medidas de seguridad y privacidad son las mismas que cuando un usuario paga desde una app.

Cómo autorizan los usuarios los pagos y cómo los verifican los comercios

Para proteger los pagos de las apps, los usuarios y comercios pasan la información a los servidores de Apple Pay, al Secure Element, al dispositivo y a la API de la app. En primer lugar, el usuario autoriza un pago de una app. A continuación, la app solicita un valor de antirreproducción criptográfico a los servidores de Apple Pay. Los servidores envían a Secure Element este valor, junto con otros datos de la transacción, para crear una credencial de pago que se encripta mediante una clave de Apple. A continuación, Secure Element devuelve las credenciales de pago a los servidores de Apple Pay para que puedan desencriptarlas, verificar el valor de antirreproducción con el valor de antirreproducción que los servidores de Apple Pay enviaron originalmente, y volver a encriptarlas con la clave del beneficiario. Los servidores devuelven después el pago al dispositivo, que lo remite a la API de la app y esta, a su vez, lo pasa al sistema del beneficiario para su procesamiento. Por último, el beneficiario verifica las credenciales de pago para confirmar la transacción.

Las API requieren una autorización del ID de comercio en la que se indiquen los ID compatibles del beneficiario. Al poder enviar también datos adicionales (como, por ejemplo, el número de pedido o la identidad del cliente) al Secure Element para que los firme, una app garantiza que la transacción no se puede desviar a otro cliente. El desarrollador de la app se encarga de realizar esta tarea y es quien puede especificar los datos específicos de la aplicación (applicationData) en la solicitud de pago. En los datos de pago encriptados, se incluye un hash de estos datos. A continuación, el beneficiario será responsable de verificar que su hash de applicationData coincide con el de los datos de pago.

Pagar con tarjetas en sitios web

Apple Pay se puede usar para realizar pagos en sitios web con lo siguiente:

• dispositivos que usan la autenticación biométrica;

• Apple Watch

• ordenadores Mac con chip de Apple que usan el teclado Magic Keyboard con Touch ID.

Asimismo, pueden iniciarse transacciones de Apple Pay en un Mac y acabarse en un iPhone o Apple Watch compatible con Apple Pay utilizando la misma cuenta de iCloud. Si el usuario transmite información relacionada con el pago de este modo, mediante Handoff, Apple Pay utiliza el protocolo del servicio de identidad (IDS) de Apple encriptado punto a punto para transmitir la información relacionada con el pago entre el Mac del usuario y el dispositivo autorizador. El cliente IDS del Mac utiliza las claves del dispositivo del usuario con el fin de realizar la encriptación, de manera que ningún otro dispositivo pueda desencriptar esa información. Estas claves no están disponibles para Apple.

Al detectar el dispositivo que se utiliza para continuar con la operación de Apple Pay mediante Handoff, se obtiene el tipo y el identificador único de las tarjetas de crédito del usuario junto con otros metadatos. El número de cuenta del dispositivo correspondiente a la tarjeta del usuario no se comparte y sigue estando almacenado de forma segura en el iPhone o Apple Watch. Apple también transfiere de forma segura las direcciones de contacto, envío y facturación del usuario utilizadas recientemente mediante el llavero de iCloud.

Cuando el usuario autoriza un pago, se transmite de forma segura un identificador de pago (encriptado exclusivamente para el certificado comercial de cada sitio web) desde el iPhone o Apple Watch del usuario hasta su Mac y, a continuación, se envía al sitio web del beneficiario.

Para pagar con Apple Pay en internet, también es necesario que todos los sitios web participantes estén registrados en Apple. Una vez registrado el dominio, se realiza la validación del nombre de dominio solo después de que Apple emita un certificado de cliente TLS. Los sitios web compatibles con Apple Pay deben:

• ofrecer su contenido mediante el protocolo HTTPS;

• obtener una sesión comercial segura y única (para cada transacción de pago) con un servidor de Apple mediante el uso de un certificado de cliente TLS emitido por Apple.

Apple también se encarga de firmar los datos de la sesión comercial. Una vez verificada la firma de la sesión comercial, el sitio web puede preguntar si el usuario dispone de un dispositivo compatible con Apple Pay y si en ese dispositivo hay activada una tarjeta de crédito, débito o prepago. No se comparte ninguna otra información. Si el usuario no quiere compartir esa información, puede desactivar las preguntas de Apple Pay en los ajustes de privacidad de Safari en los dispositivos iPhone, iPad y Mac.

Si el sitio web usa la versión más reciente del kit de desarrollo de software JS de Apple Pay, entonces también pueden iniciarse transacciones de Apple Pay usando cualquier navegador web de terceros en cualquier sistema operativo, y se pueden completar en un iPhone o iPad con Apple Pay activado y iOS 18, iPadOS 18 o posterior. Para que esto se produzca, se debe escanear un código usando la cámara del dispositivo para establecer una conexión con el sitio web. Cuando el sitio web presenta este código, se establece una conexión WebSocket segura entre el sitio web y los servidores de Apple. Al escanear este código, se establece una conexión WebSocket segura adicional independiente entre el dispositivo con Apple Pay activado y los servidores de Apple. Esto completa la conexión bidireccional requerida entre el sitio web y el dispositivo con Apple Pay activado, usando los servidores de Apple como relay. Todas las comunicaciones posteriores entre estas dos partes siguen el proceso habitual para las transacciones por internet de Apple Pay.

Una vez validada la sesión comercial, las medidas de privacidad y seguridad son las mismas que cuando un usuario paga desde una app.

Pagos automáticos e identificadores del comercio

Los dispositivos con iOS 16, iPadOS 16, macOS 13 o posterior pueden usar los identificadores del comercio de Apple Pay, que garantizan la seguridad de los pagos en todos los dispositivos de un usuario. La hoja de pago actualizada de Apple Pay optimiza los pagos preautorizados. La API de Apple Pay también es compatible con nuevos tipos de transacciones, lo cual permite a los desarrolladores personalizar la hoja de pago para usos específicos, como suscripciones, facturas periódicas, pagos a plazos y recargas automáticas de los saldos de la tarjeta.

Los identificadores del comercio no son específicos del dispositivo y, por tanto, permiten la continuidad de los pagos recurrentes si el usuario elimina una tarjeta de pago del dispositivo.

Pagos a varios comercios

En iOS 16 o posterior, Apple Pay incluye la posibilidad de especificar importes de compra para varios comercios dentro de una única hoja de pago de Apple Pay. Esto ofrece la flexibilidad de permitir a los clientes hacer una compra agrupada, como un paquete de viaje con vuelo, coche de alquiler y hotel, y luego enviar los pagos a los comercios individuales.